Un’azienda del settore della manifattura di mobili, situata in Romania, ha contattato Digital Recovery dopo aver subito una paralisi completa della produzione causata da un attacco di ransomware Lynx. L’incidente si è verificato durante un fine settimana e ha compromesso immediatamente l’intero ambiente operativo dell’azienda.
Tutti i sistemi centrali sono diventati indisponibili, le linee di produzione sono state interrotte e le directory condivise hanno iniziato a mostrare l’estensione “.lynx”, confermando uno scenario di crittografia generalizzata.
Il ransomware si è infiltrato nell’ambiente virtualizzato Hyper-V, crittografando rapidamente numerosi dischi virtuali VHDX e compromettendo sistemi critici responsabili di:
- Pianificazione della produzione
- Sincronizzazione delle scorte
- Logística
- Controller industriali
Come conseguenza diretta, le apparecchiature della linea di produzione hanno smesso di ricevere istruzioni aggiornate dai server, costringendo all’interruzione totale delle operazioni.
Primo Contatto
L’azienda è arrivata a Digital Recovery tramite un caso di successo pubblicato in precedenza e ha attivato la nostra linea di emergenza durante il fine settimana.
O gerente de TI, visivelmente exausto e sob extrema pressão, resumiu a situação:
“Tutto è fuori servizio. Stiamo perdendo denaro ogni minuto e non sappiamo nemmeno se i nostri backup siano sopravvissuti.”
In quel momento, non vi era alcuna garanzia di recupero dei dati né chiarezza sull’effettiva estensione dei danni.
L’analisi iniziale effettuata dagli ingegneri di Digital Recovery ha identificato la seguente infrastruttura:
- Hosts Hyper-V
- Decine di dischi virtuali VHDX crittografati
- Un NAS dedicato per l’archiviazione dei backup Veeam
- Múltiplas máquinas virtuais críticas, incluindo:
- ERP
- Server di file
- Sistemi di logistica
- Server di controllo industriale
Sebbene il ransomware abbia raggiunto la rete di backup, l’analisi tecnica ha rivelato che lo scenario era ancora recuperabile.
Processo di Recupero
Anche con metadati e cataloghi di Veeam parzialmente corrotti, gli ingegneri di Digital Recovery hanno identificato che i blocchi di backup rimanevano integri.
Con l’utilizzo di tecnologie proprietarie, è stato possibile:
- Ricostruire i metadati danneggiati dei dischi VHDX
- Identificare ed estrarre punti di ripristino validi di Veeam, anche senza accesso ai cataloghi
- Ripristinare sistemi ERP, server di file e macchine virtuali collegate alla produzione
- Validare ogni sistema recuperato attraverso il nostro processo di Integrity Map, garantendo coerenza e affidabilità operativa
Tutto il processo è stato condotto senza alcuna interazione con gli attaccanti e senza pagamento di riscatto.
Risultato
- 100% delle macchine virtuali recuperate
- Nessuna perdita di dati
- Nessun pagamento di riscatto
- Produzione completamente ripristinata
- Continuità operativa garantita
In un breve periodo operativo, il produttore rumeno di mobili ha ripreso le proprie attività normali, con tutti i sistemi ricostruiti, validati e operativi esattamente come prima dell’attacco.
